Cisco Nexus: настройка источника
Данное руководство описывает процесс настройки сбора и отправки событий Cisco Nexus в R-Vision SIEM.
Предварительные требования
-
Сетевая доступность нод кластера SIEM по целевому порту и протоколу для источника.
Настройка Cisco Nexus
Настройка отправки событий Cisco Nexus
Отправка сообщений осуществляется посредством протокола syslog. Для настройки передачи событий выполните следующую команду:
enable
conf t
logging source-interface Ethernet1/1
logging console 7
logging server 10.10.10.10 port 30150 facility syslog
copy running-config startup-configЗдесь:
-
Ethernet1/1— название интерфейса, который будет отправлять события. -
10.10.10.10— адрес сервераrsyslogилиSIEM. -
30150— значение порта, на который будут отправляться события.
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Syslog.
-
Порт точки входа: введите значение в соответствии с настройками на стороне Cisco Nexus.
-
Протокол: выберите вариант TCP.
-
-
Добавьте на конвейер элемент Нормализатор с правилом Cisco Nexus (идентификатор правила: RV-N-27).
-
Соедините нормализатор с точкой входа.
-
Добавьте VRL-трансформацию:
.dproduct = "NXOS"
-
Соедините VRL-трансформацию с нормализатором.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с VRL-трансформацией.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Cisco Nexus.
|
Найти события Cisco Nexus в хранилище можно по следующему фильтру:
|
Таблица маппинга
Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.
Была ли полезна эта страница?
